Перейти к основному содержимому
Версия: 4.5.X

Multifactor

MULTIFACTOR — система двухфакторной аутентификации, которая позволяет кратно усилить защиту от несанкционированного доступа к вашим сайтам и приложениям.

Двухфакторная аутентификация или, в случае обеспечения более надежного разграничения доступа к информации, многофакторная аутентификаци предполагает использование двух и более механизмов проверки личности пользователя.

Всего существует три вида механизмов аутентификации:

  1. Аутентификация на основании известной исключительно пользователю информации, обычно это логин и пароль.

  2. Аутентификация с использованием физического носителя информации, доступ к которому есть исключительно у пользователя, например, телефон или USB-токен.

  3. Аутентификация на основании физиологических особенностей пользователя, а именно биометрических данных: отпечаток пальца, сетчатка глаза, лицо.

Linux

Сбор логов работы ЭВМ, функционирующих под управлением операционной системы Astra Linux Special Edition (ALSE), осуществляется как с использованием syslog коллектора, так и файлового коллектора.

Настройка сбора логов работы MULTIFACTOR с использованием syslog коллектора

Пример настройки продемонстрирован на ЭВМ, функционирующей на базе ALSE версии 1.8.

Для настройки логирования работы MULTIFACTOR необходимо выполнить следующие действия:

  1. Открыть конфигурационный файл multifactor-radius-adapter.dll.config для редактирования с помощью команды:

    nano /opt/multifactor/radius/multifactor-radius-adapter.dll.config

  2. В конфигурационном файле привести следующие параметры к виду:

    "logging-level" value="Debug"/>
    "logging-format" value="json"/>

    Пример отредактированного конфигурационного файла приведен на рисунке 1.

    1

    Рисунок 1 – Пример отредактированного конфигурационного файла

    подсказка

    Рекомендуется сохранить копию конфигурационного файла ssh.config.template в директории /opt/multifactor/radius/clients с любым другим именем, например, for_linux.config

    осторожно

    Для настройки логирования MULTIFACTOR в сохраненной копии конфигурационного файла for_linux.config вносить изменения не нужно. Пример конфигурационного файла for_linux.config приведен на рисунке 2 и носит исключительно ознакомительный характер.

    1

    Рисунок 2 - Пример конфигурационного файла клиента for_linux.config, расположенный в директории /opt/multifactor/radius/clients/

  3. Настроить отправку событий в SIEM систему с использованием syslog-ng, для чего необходимо открыть для редактирования конфигурационный файл syslog-ng

  4. Добавить в раздел Sources конфигурационного файла строку:

    source mfa_logs { file (/opt/multifactor/radius/logs/*.txt persist-name (mfa_logs_1) flags(no-parse)); };

  5. Добавить строку в раздел Destinations:

    destination komrad { tcp("IP_SIEM" port(PORT_SIEM_SYSLOG_COLLECTOR) persist-name("RAW_SIEM") template("$MESSAGE\n")); };
    подсказка

    Вместо "IP_SIEM" необходимо указать IP-адрес SIEM системы и порт syslog-коллектора вместо PORT_SIEM_SYSLOG_COLLECTOR (по стандарту порт syslog коллектора TCP 49000)

    Пример отредактированного конфигурационного файла представлен на рисунке 3.

    1

    Рисунок 3 – Пример отредактированного конфигурационного файла syslog-ng

  6. Необходимо добавить строчку в раздел Log paths:

    log { source(mfa_logs); destination(komrad); };

    Пример фрагмента конфигурационного файла с добавленной строкой представлен на рисунке 4.

    1

    Рисунок 4 – Пример фрагмента конфигурационного файла с добавленной строкой

  7. Перезагрузить syslog-ng с помощью команды:

    sudo systemctl restart syslog-ng
    подсказка

    После того, как события начали поступать в SIEM систему Komrad Enterprise, на syslog коллекторе необходимо включить плагин 2FA Multifactor из пакета экспертиз

Настройка сбора логов работы MULTIFACTOR с использованием файлового коллектора

Для настройки логирования работы MULTIFACTOR необходимо выполнить следующие действия:

  1. Добавить источник и подключиться к ЭВМ, на которую был установлен Radius Adapter для Linux Server (рисунок 5)

    1

    Рисунок 5 – Настройка источника событий

  2. Прописать полный путь к папке с логами Radius адаптера (рисунок 6)

    1

    Рисунок 6 – Указанный путь к папке с логами

осторожно

В случае возникновения ошибки типа: «Нет доступа к фалу/Доступ запрещён» Необходимо выполнить следующую команду в терминале ЭВМ:

sudo chmod -R +r /opt/multifactor/
подсказка

После того, как события начали поступать в SIEM систему Komrad Enterprise, на файловом коллекторе необходимо включить плагин 2FA Multifactor из пакета экспертиз

Windows

Для настройки логирования работы MULTIFACTOR с ЭВМ, функционирующих на базе ОС семейства Microsoft Windows, необходимо выполнить следующие действия:

  1. Зайти в C:\Program Files\MFA Radius и открыть для редактирования файл MultiFactor.Radius.Adapter.exe.config

  2. Установить следующие значения параметров:

    <add key="syslog-app-name" value="multifactor-radius"/>
    <add key="logging-level" value="Debug" />
    <add key="syslog-server" value="udp://IP_KOMRAD:UDP_PORT"/>
    <add key="syslog-format" value="RFC5424"/>
    <add key="syslog-facility" value="Auth"/>
    <add key="syslog-use-tls" value="false" />

Пример отредактированного файла приведен на рисунке 7.

1

Рисунок 7 – пример отредактированного файла

подсказка

Для корректной работы рекомендуется использовать настройки, указанные выше!

осторожно

Внимание! Возможна потеря события из-за отправки по UDP

подсказка

Рекомендуется сохранить копию конфигурационного файла winlogon.config в директории /opt/multifactor/radius/clients с любым другим именем, например, for_windows.config

к сведению

Для настройки логирования MULTIFACTOR в сохраненной копии конфигурационного файла for_windows.config вносить изменения не нужно. Пример конфигурационного файла for_windows.config приведен на рисунке 8 и носит исключительно ознакомительный характер.

Конфиг клиента C:\Program Files\MFA Radius\Clients\ winlogon.config

1

Рисунок 8 – Пример конфигурационного файла

Windows. RRAS

Настройка адаптера производится аналогично настройке логирования работы MULTIFACTOR с ЭВМ, функционирующих на базе ОС семейства Microsoft Windows, и осуществляется следующим образом:

  1. Зайти в C:\Program Files\MFA Radius и открыть для редактирования файл MultiFactor.Radius.Adapter.exe.config

  2. Установить следующие значения параметров:

    <add key="syslog-app-name" value="multifactor-radius"/>
    <add key="logging-level" value="Debug" />
    <add key="syslog-server" value="udp://IP_KOMRAD:UDP_PORT"/>
    <add key="syslog-format" value="RFC5424"/>
    <add key="syslog-facility" value="Auth"/>
    <add key="syslog-use-tls" value="false" />

    1

    Рисунок 9 – Пример отредактированного конфигурационного файла

    подсказка

    Для корректной работы рекомендуется использовать настройки указанные выше!

    осторожно

    Внимание! Возможна потеря события из-за отправки по UDP

  3. Перезапустить службу MFARadiusAdapter

    к сведению

    Рекомендуется сохранить копию конфигурационного файла winlogon.config в директории /opt/multifactor/radius/clients с любым другим именем, например, for_windows.config

    осторожно

    Для настройки логирования MULTIFACTOR в сохраненной копии конфигурационного файла for_windows.config вносить изменения не нужно. Пример конфигурационного файла for_windows.config приведен на рисунке 10 и носит исключительно ознакомительный характер.

    1

    Рисунок 10 – Пример конфигурационного файла

Последнее обновление